在將靜態分析工具集成到開發團隊的日常工作流中之后，下一階段將致力于減少項目中的警告和技術債務積壓。

對于正在維護或開發中的產品，可能有大量待處理的待辦事項。對于未開發項目（請參閱我的靜態分析系列的第一篇文章，以了解這些不同項目階段的討論：不會使團隊不知所措的靜態分析入門方法），積壓的次數更少，盡管對于每個成熟階段的建議都相同。

處理積壓的警告的最佳起點是根據期望的結果對結果進行優先級排序和篩選。以安全性為例，根據安全性警告按重要性對優先級進行排序是有意義的。這是首次將靜態分析引入項目時使用的方法的延續，但現在的重點是團隊可以分析的下一組易消化的警告。這將由Parasoft C/C++test通過多種方式處理，我們將在下面介紹。

用于高級分析的儀表板

Parasoft的集中式報告和分析儀表板使開發人員和管理人員能夠從各種角度查看項目的當前狀態，并在需要的地方進一步導航到更多詳細信息，以建立一組警告以進行進一步調查?？紤]以下儀表板，該儀表板顯示了項目當前符合CERT C編碼標準：

圖1：Web門戶儀表板的示例。在這種情況下，符合CERT C合規性簡介。

使用此Web門戶，用戶可以更深入地進行分析，并根據需要深入到文件和代碼級別，并完全在Web門戶或IDE中調查警告。在此階段，可以對警告進行優先級排序，將其分配給開發人員，禁止其顯示或標記為誤報。請參閱Parasoft資源管理器中的以下示例：

圖2：Parasoft違規資源管理器

管理違反編碼標準

在大多數情況下，在分析源代碼標準合規性時，將違反情況報告為靜態分析警告。在大型項目中，最初會有很多警告，因此快速有效地對其進行管理至關重要。 Parasoft的違規資源管理器是導航、評估、確定優先級并分配報告的錯誤進行補救的關鍵工具。如果發現違反靜態分析規則是有效但合理的，被認為是無害的，或者不適用，則開發人員可以抑制該錯誤，并可以記錄偏差。這些偏差會在項目的每個級別上報告給儀表板和合規性文檔。

為了使編碼標準合規性適用于現有項目，至關重要的是，團隊應首先關注必須被視為強制性的規則。遵從性通常是基于滿足強制性要求的，如果有適當的證明，則會違反建議的規則。標準允許對規則進行重新分類（如果不是強制性的），如果有正當理由并記錄在案，則允許違反。沒有這個，試圖糾正每種違規行為將變得不可行。

Parasoft通過為管理人員提供一個可導航界面來瀏覽違規行為，并在需要時自動生成報告以提供認證證據，從而為用戶節省了許多額外的工作時間。MISRA C偏差報告的示例如下所示：

圖3：示例Parasoft MISRA C偏差報告

管理錯誤和安全警告的待辦事項

對于采用靜態分析的團隊來說，了解不必修正或分析所有警告非常重要。并非所有警告都相等，因此，嚴重性級別是調查和修復警告應投入多少精力的最佳指示。繼續本系列第一篇文章中討論的“沙中線”方法，當深入研究積壓的警告時，我們每次都有效地將沙中線移得更遠。

Parasoft Jtest和Parasoft C/C++test使用戶可以使用配置在IDE中對警報進行優先級排序和過濾。例如，嚴重性和類別（警告類型，例如與安全相關的警告）可用于創建一組適合分析的警告。新用戶配置示例如下所示：

圖4：IDE中的自定義測試配置設置

此配置可用于過濾IDE中的警告：

圖5：可以在IDE的DTP Findings視圖中選擇配置

逐步移動“界線”以解決下一個最高優先級和類別是處理大量警告的最佳方法。 最終，由于時間和預算的原因，達到了一個臨界點，但是軟件團隊應該感到安心，盡管仍有大量積壓的警告，但他們在質量和安全性方面已取得了顯著改善。

總結

在大型項目中，最初會有很多警告，因此快速有效地對其進行管理至關重要。對于采用靜態分析的團隊來說，了解不必修復或分析所有警告非常重要，但是請確保選擇一種工具，該工具可讓您瀏覽、評估、確定優先級并分配報告的錯誤以進行補救。逐步移動“界線”以解決下一個最高優先級和類別是處理大量警告的最佳方法。